Оценка уровня защищенности информационных систем

Оценка защищенности обязательна для государственных органов, госкорпораций и объектов критической информационной инфраструктуры (КИИ) (Указ Президента РФ № 250). Случаи, когда такая проверка необходима:

• Внедрение новой ИС в организации
• Существенная модернизация ИС (например, установка нового серверного оборудования, добавление новых модулей для обработки конфиденциальной информации)
• Изменение требований регуляторов к защите информации в ИС
• При выявлении уязвимостей в системе защиты.

Для остальных информационных систем процедуру проводят по решению владельца системы.

Чем оценка защиты отличается от аттестации ИС

Основные способы проверки безопасности ИC — аттестация и оценка защищенности.

1. Аттестация — официальная проверка, которая подтверждает соответствие защиты ИС всем правилам и государственным требованиям. По итогам успешной проверки организация получает аттестат соответствия — официальный документ, которые доказывает надежность защиты информации. Подробнее об аттестации.
2. Оценка защищенности — практическая проверка безопасности системы. Члены проверяющей комиссии ищут уязвимости и анализируют возможные угрозы. В результате организация получает отчет с рекомендациями по усилению защиты.

Процедуры не исключают друг друга. Оценка защищенности помогает подготовиться к аттестации. И даже после успешной аттестации нужно регулярно проверять безопасность системы, ведь киберугрозы постоянно совершенствуются.

Критерии оценки уровня защищенности ИС

1. Функциональная безопасность. В рамках оценки анализируют:

• как настроены средства защиты информации (СЗИ) — правильность конфигурации антивирусов, файерволов и других защитных механизмов,
• насколько эффективно работают технические инструменты безопасности — способны ли они реально противостоять актуальным угрозам,
• как организованы рабочие процессы — соблюдают ли сотрудники правила информационной безопасности, правильно ли распределены права доступа.

2. Надежность системы защиты. При оценке изучают:

• полноту технической документации — все ли инструкции, регламенты и схемы в порядке, отражают ли они реальное состояние системы,
• качество обслуживания системы — проводится ли регулярное обновление, мониторинг и техническая поддержка защитных механизмов.

Критерии помогают убедиться: система не просто оснащена СЗИ, но и правильно с ними взаимодействует.

Этапы оценки уровня защищенности ИС

1. Оценка исходных данных

   Составляются цели и задачи, формируется состав экспертов. Изучается архитектура ИС, сетевая инфраструктура, анализируется документация и политика безопасности. Проводится интервью с ответственными сотрудниками за информационную безопасность.

2. Разработка программы и методики испытаний

   Определяются конкретные направления проверок, методы тестирования и анализа защищенности. Формируются критерии оценки эффективности существующих механизмов защиты. Составляется план работ с указанием сроков и ожидаемых результатов.

3. Экспертное обследование

   Специалисты проверяющей комиссии оценивают эффективность механизмов защиты. Выявляют уязвимости и потенциальные угрозы безопасности. Проверяют соответствие системы защиты законодательным и нормативным требованиям.

4. Проведение инструментальных проверок

   Выполняется автоматическое и ручное тестирование для выявления угроз ИС. Моделируются действия злоумышленников для проверки эффективности защитных мер. Определяются вероятные угрозы и анализируются их возможные последствия.

5. Анализ результатов

   Оцениваются риски, связанные с обнаруженными уязвимостями. Анализируется эффективность существующих мер защиты. Формируются выводы об общем уровне защищенности системы.

6. Оформление результатов

   Результаты включают в себя:
   • Описание обнаруженных уязвимостей и угроз.
   • Оценку эффективности действующих защитных мер и механизмов контроля.
   • Конкретные рекомендации по улучшению безопасности
   • План мероприятий с указанием сроков и ответственных за выполнение.
   Этот отчет является основой для принятия дальнейших шагов по усилению безопасности ИС и минимизации рисков.

Требования для оценки уровня защищенности ИС

1. Кто может проводить оценку защищенности

Каждая организация должна минимум раз в 3 года проверять, насколько хорошо защищены ее ИС. Проверку можно провести двумя способами (ПП РФ № 1119):

1. своими силами через ответственного сотрудника
2. с помощью услуг компаний, у которых есть лицензии от ФСБ и ФСТЭК России.

2. Запрет на использование иностранного ПО в КИИ

С 31 марта 2022 года госкомпаниям запрещено закупать иностранное ПО для использования на значимых объектах критической информационной инфраструктуры (КИИ) (Указ Президента РФ № 166). С 1 января 2025 года введен полный запрет на использование зарубежного программного обеспечения.

3. Ограничения на использование иностранных средств защиты информации

Также с 1 января 2025 года запрещено использовать СЗИ из недружественных стран. Запрет наложен как программное обеспечение, так и оборудование для защиты ИС (Указ Президента РФ № 250).

Где заказать оценку защищенности

«Управление информационной безопасности» работает с 2019 года. За это время мы завершили более 4000 проектов. Учитываем особенности вашей отрасли, применяем современные методы и инструменты для поиска скрытых уязвимостей.

Почему выбирают нас:

• Работаем с регионами по всей стране
• Есть все необходимые лицензии для работы
• Сотрудничаем с организациями любого масштаба — от малого бизнеса до государственных структур.

Для консультации свяжитесь с нами:
Телефон: 8 800-707-94-97
E-mail: info@uibcom.ru