Новости

Аттестация рабочих мест и информационных систем

Законодательство в области защиты информации предъявляет все большие требования к информационным системам, в которых не обрабатываются сведения, составляющие государственную тайну: информационные системы персональных данных (ИСПДн) и государственные информационные системы (ГИС). ФСТЭК особенно тщательно контролирует соответствие информационной системы соответствующим приказам.

Как правило, мероприятия, проводимые для создания системы защиты, условно делятся на:
  • аудит информационной системы;
  • классификация информационной системы;
  • моделирование угроз безопасности;
  • проектирование системы защиты информации;
  • реализация проекта системы защиты информации;
  • мероприятие по контролю соответствия системы защиты информации требованиям законодательства в сфере защиты информации (персональных данных).
Для ГИС в качестве «контролирующего мероприятия» определена аттестация, которая:
  • регламентирована «Положением по аттестации объектов
  • информатизации», рядом ГОСТов и руководящими документами ФСТЭК;
  • проводится лицензиатом ФСТЭК России на проведение работ по технической защите конфиденциальной информации (ТЗКИ);
  • проводится раз в три года, при этом раз в год должен проводиться инструментальный контроль.
Первое, что проверяется при аттестации ГИС – правильность классификации информационной системы, так как от установленного класса зависит набор требований к системе защиты информации.

После проверки документов проверяется техническая часть системы защиты информации, в ходе этого проводятся следующие мероприятия:
  • соответствие состояния информационной системы предоставленному техническому паспорту на ГИС;
  • соответствие средств защиты, используемых в ГИС, установленному классу ГИС;
  • наличие на средства защиты информации действующих сертификатов ФСТЭК России/ФСБ России;
  • соответствие настроек средств защиты информации требованиям законодательства и внутренним организационно-распорядительным документам;
  • инструментальные испытания системы защиты информации.
Программа аттестационных испытаний утверждается совместно с заказчиком. По Итогам аттестации выдаются:
протокол аттестационных испытаний и заключение по итогам аттестационных испытаний. В случае положительного заключения по итогам аттестационных испытаний выдается аттестат соответствия.

Аттестат действителен три года, в течение которых в информационную систему не должны вноситься существенные изменения, не согласованные с организацией, выдавшей аттестат соответствия. Должен проводиться ежегодный контроль соответствия системы защиты информации требованиям законодательства.
Подписаться на новости!