Аттестация информационной системы

Что такое информационная система

Если в компании есть хотя бы одна общая папка на сервере или база сотрудников в электронном виде – у вас уже есть своя информационная система (ИС) – слаженный механизм, который состоит из трех частей:

• Данные. Информация, которой оперирует бизнес: база клиентов, финансовые отчеты, персональные данные сотрудников, прайс-листы, внутренняя документация.
• Программы. Все, что заставляет данные работать: CRM, почтовый сервер и даже корпоративный мессенджер.
• Железо. Это физическая основа: серверы в стойке, компьютеры сотрудников, маршрутизаторы, системы хранения данных (СХД). Все то, что можно потрогать и что обеспечивает работу первых двух компонентов.

Момент, который многие упускают: ИС – это цифровое хранилище. Физический склад с документами – это не ИС.

Какие ИС бывают

Условно все ИС можно разделить на два вида, требования к безопасности которых немного различаются:

• ИС персональных данных (ИСПДн). Это все ИС, в которых хранятся и обрабатываются данные сотрудников, клиентов или партнеров (тот же «Контур.Экстерн» или внутренняя CRM). Регулируется Приказом ФСТЭК №77. Аттестат выдается бессрочно, но каждые два года требуется серьезный периодический контроль.
• Государственные, региональные или муниципальные ИС (ГИС). Например, вузы, которые обязаны подавать данные абитуриентов в «Госуслуги». Правила здесь такие же, как для ИСПДн.

Аттестация бывает обязательной и добровольной. Вы не сможете избежать обязательной проверки, если:

• Ваша компания – часть критической информационной инфраструктуры (КИИ).
• Вы обрабатываете персональные данные в рамках взаимодействия с государственными системами (например, как поставщик или учебное заведение).

Если же вы коммерческая фирма и работаете с персональными данными только внутри организации, по закону вам разрешено самостоятельно оценивать их защищенность.

То же самое касается и ситуаций, когда вы обмениваетесь данными с другими негосударственными компаниями. Но деловые партнеры могут потребовать требуют от контрагентов доказательства защищенности информационных систем. В этом случае аттестат станет вашим конкурентным преимуществом.

Краткий список тех, кому без аттестата не обойтись:

• Госучреждения. Для них это обязательное требование.
• B2G-компании (работающие с государством). Аттестат – это ваш «допуск» к участию в гос. проектах и подключению к системам вроде СМЭВ (Система межведомственного электронного взаимодействия) или ЕСИА (Единая система идентификации и аутентификации).
• Медицинские, финансовые и страховые организации. Работают с чувствительными данными (биометрией, диагнозами, картами пациентов), где утечка недопустима.

Как происходит аттестация ИС

Проводить аттестацию имеют право только организации с лицензией ФСТЭК (лицензиаты). Выглядит это так:

• Предварительная подготовка и анализ. Эксперты приезжают к вам (удаленно процедуру не пройти – лицензиат должен все видеть своими глазами). Они изучают вашу систему: что за данные хранятся, как все устроено технически и ищут слабые места.
• Проектирование защиты. На основе анализа разрабатывается план: какие средства защиты информации (СЗИ) нужно установить или настроить, чтобы закрыть все «дыры».
• Испытания на прочность. На этом этапе проводится всестороннее сканирование системы на наличие уязвимостей с помощью специального программного обеспечения (например, «Сканер-ВС»).
• Документирование. На каждом шаге составляются подробные отчеты. Бумажная работа – обязательная часть процесса.
• Выдача аттестата. Если ИС выдержала испытания и соответствует требованиям, вы получаете заветный документ.

Как аттестат ИС помогает бизнесу

Аттестация информационных систем по требованиям безопасности требует много времени и ресурсов. Но если посмотреть глубже, это разумная инвестиция в безопасность и репутацию компании:

• Гарантия безопасности. Вы спите спокойно, зная, что система защиты работает.
• Полная законность. Аттестат – страховка от штрафов за нарушения в обработке персональных данных от Роскомнадзора и ФСТЭК, которые достигают сотен тысяч рублей.

Аттестат – это договор с регулятором. Если сертификат был оформлен на бессрочный срок, вы должны поддерживать ИС в том же защищенном состоянии, что и на момент его выдачи. Если вы пропустили плановую проверку или самовольно обновили защиту, будьте готовы к тому, что ФСТЭК приостановит действие аттестата или аннулировать его.

Почему стоит доверить аттестацию экспертам

Аттестацию могут проводить только аккредитованные компании с лицензией ФСТЭК. Но почему стоит выбрать «УИБ»?

• Лицензиат ФСТЭК и ФСБ России. У нас есть все официальные полномочия для проведения полноценной аттестации. Не посредники, а прямые исполнители.
• Берем рутину на себя. По закону аттестованные ИС должны проходить контроль раз в два года (а некоторые – еще чаще). Будем вести ваш объект и напоминать о сроках проверок.
• Говорим на вашем языке. Наша команда – это практики, которые понимают, как устроен бизнес-процесс. Мы не заваливаем вас канцеляритами, а объясняем суть проблем и предлагаем работающие решения.

Аттестация информационной системы – инвестиция в безопасность бизнеса и его репутацию. Доверяя этот процесс профессионалам, вы экономите время, нервы и получаете уверенность в завтрашнем дне. Готовы обсудить задачу? Обращайтесь!