Аттестация ГИС

Аттестация ГИС (государственной информационной системы) — это процедура подтверждения соответствия информационной системы требованиям по информационной безопасности (ИБ).

Она проводится в соответствии с нормативными актами, в частности с 17 приказом ФСТЭК России и Федеральным законом от 27 июля 2006 года № 149-ФЗ. Аттестация необходима для подтверждения обеспечения защиты информации от несанкционированного доступа, утечки, модификации и других угроз.

Зачем проводить аттестацию ГИС

Проведение аттестации по требованиям ИБ необходимо для:

• Защиты конфиденциальных данных: обеспечивает сохранность обрабатываемой информации.
• Соблюдения законодательных норм: выполнение норм законодательства об ИБ.
• Устранения уязвимостей: выявление и устранение уязвимостей.
• Получения разрешений: на введение в эксплуатацию ресурса и использование по назначению.

Требования к ГИС

Требования регламентируют порядок защиты и включают:

• Технические меры: использование сертифицированных средств защиты информации (СЗИ).
• Организационные меры: разработка и внедрение политик и процедур безопасности.
• Правовые аспекты: соблюдение нормативных актов, таких как аттестация ГИС по приказу ФСТЭК №17. Подробнее о приказе далее по тексту.

Классификация ГИС

Государственные информационные системы (ГИС) классифицируются по трём классам защищённости — К1, К2 и К3. Эти классы определяют степень важности информации и меры, необходимые для её защиты:

• Класс К1 — высокий уровень защищённости. Включает системы, которые обрабатывают критическую информацию государственного значения. Такие системы требуют жёстких мер безопасности, поскольку нарушение их работы может привести к серьёзным последствиям для государства.
• Класс К2 — средний уровень защищённости. В эту категорию попадают системы, обрабатывающие информацию, которая не критична для национальной безопасности, но всё же важна для функционирования государственных или региональных органов. Нарушение работы таких систем может привести к серьезным последствиям.
• Класс К3 — наименьший уровень защищённости. Он применяется к системам, обрабатывающим менее значимую информацию. Хотя такие системы также подлежат защите, требования к ним менее строгие по сравнению с К1 и К2.

Какие объекты подлежат аттестации

Аттестации подлежат:

1. Государственные информационные системы, обрабатывающие конфиденциальную информацию. Например:
   • Информационные системы Министерства обороны, обрабатывающие данные о государственных секретах.
   • Системы управления здравоохранением, содержащие данные о медицинских записях граждан.
   • Государственные налоговые системы, хранящие персональные данные налогоплательщиков.
2. Сегменты сетей, через которые проходит передача защищаемых данных. Например:
   • Ведомственные локальные сети органов государственной власти, через которые передаются данные с грифом «Для служебного пользования».
   • Сети федеральных систем электронного документооборота, использующие шифрование для передачи данных.
   • VPN-сети, соединяющие различные подразделения государственных учреждений для безопасной передачи информации.
3. Технические средства, обеспечивающие функционирование ГИС. Например:
   • Серверы баз данных, хранящие конфиденциальную информацию и обеспечивающие её защиту.
   • СЗИ, такие как межсетевые экраны и системы обнаружения вторжений.
   • Системы резервного копирования и восстановления данных, предназначенные для защиты от потерь информации в случае сбоев.

Этапы аттестации

Процесс аттестации включает:

1. Подготовительный этап:
   • Определение класса защищённости (К1-К3).
   • Сбор перечня информационных активов и анализ существующей системы безопасности.
2. Разработка организационно-распорядительной документации:
   • Создание политики безопасности.
   • Разработка инструкций и положений по защите информации.
3. Проведение испытаний:
   • Тестирование на соответствие требованиям ИБ (описали ниже).
   • Выявление и устранение уязвимостей.
4. Оформление аттестационных материалов:
• Составление отчёта об оценке соответствия.
• Подготовка протоколов испытаний.
5. Получение аттестата соответствия:
• Представление документов в контролирующий орган — ФСТЭК России.

Требования к безопасности ГИС

Требования безопасности, которым должна соответствовать ГИС, включают следующие категории:

1. Технические требования:
   • Использование сертифицированных средств защиты информации (СЗИ) — системы должны применять программные и аппаратные решения, которые прошли сертификацию ФСТЭК или ФСБ. Это могут быть межсетевые экраны, системы антивирусной защиты, системы предотвращения вторжений и другие.
   • Шифрование данных — сведения, обрабатываемые в ГИС, должны быть защищены с помощью криптографических средств, сертифицированных ФСБ России.
   • Контроль доступа — ограничение доступа к информации на основе принципа минимальных привилегий, что означает, что пользователи имеют доступ только к тем сведениям и системам, которые необходимы в рабочих задачах.
2. Организационные требования:
   • Политика информационной безопасности — каждая ГИС должна иметь утверждённые внутренние документы, регламентирующие правила защиты данных, распределение прав доступа и обязанности сотрудников по соблюдению безопасности.
   • Обучение и инструктаж персонала — сотрудники, работающие с информационной системой, должны проходить обучение по вопросам защиты информации, а также регулярно актуализировать знания в этой области.
   • Регулярное проведение аудитов и проверок — система должна регулярно проходить внутренние проверки и тестирования на предмет соответствия требованиям ИБ и актуальности используемых мер защиты.
3. Нормативные требования:
   • Приказ ФСТЭК № 17 — один из основных документов, регулирующих порядок защиты информации в ГИС, описывающий минимальные требования к системе защиты информации.
   • Федеральный закон № 149-ФЗ — регулирует вопросы защиты информации и устанавливает общие требования к безопасной обработке данных.
   • Приказ ФСБ по использованию криптографических средств — регламентирует использование средств шифрования для защиты данных, обрабатываемых в ГИС.

Изменения 17 приказа ФСТЭК

С учётом развития технологий и появления новых угроз, приказ периодически обновляется. Изменения могут включать:

• Уточнение требований к техническим и программным СЗИ.
• Обновление процедур аттестации с учётом практики применения.
• Введение новых категорий информационных систем и требования к ним.

Стоимость аттестации

Стоимость зависит от:

• Сложности системы: количество компонентов, степень взаимосвязи компонентов.
• Категории обрабатываемой информации: более высокие требования к защите повышают стоимость.
• Объёма необходимой документации: разработка новых или актуализация действующей документации.
• Сроков проведения работ: экспресс-аттестация может быть дороже.

Для проведения оценки объёма работ, расчёта и подготовки коммерческого предложения рекомендуем обратиться к менеджерам компании.

Аттестация ГИС экспертами ООО «УИБ»

Компания «Управление информационной безопасности» предлагает услугу по аттестации ГИС. Наши преимущества:

• Более 14 лет работы в области защиты информации.
• Лицензиат ФСБ и ФСТЭК России на работы в области ИБ.
• Более 4000 реализованных проектов для государственных и коммерческих организаций.
• Мы предлагаем аттестацию — от предварительного обследования до получения аттестата соответствия.
• Ориентируемся в требованиях законодательства, что поможет избежать ошибок при подготовке к аттестации.
• Продолжаем поддержку клиентов после завершения проекта и готовы оказать техническую помощь в процессе эксплуатации системы защиты.

Аттестация ГИС по требованиям безопасности информации — обязательный этап ввода ресурса в эксплуатацию. Она гарантирует, что ресурс соответствует установленным требованиям ИБ и способен защитить обрабатываемые сведения от угроз. Соблюдение требований законодательства и правильная организация процесса аттестации гарантирует надёжную защиту государственных цифровых ресурсов.

Для получения консультации оставьте заявку на сайте или свяжитесь по указанному телефону — 8 800-707-94-97 или e-mail — info@uibcom.ru.