Программа и методика аттестационных испытаний гис пример

ООО «КРИПТО-ПРО» оказывает услуги по обеспечению в соответствии с требованиями Законодательства защиты конфиденциальной и общедоступной информации, содержащейся в государственных информационных систем (ГИС).

В рамках оказываемых услуг проводятся мероприятия по созданию системы защиты информации (далее – СЗИ), в том числе включающие:

1. Проведение обследования и классификации ГИС по требованиям защиты информации;
2. Разработка частной модели актуальных угроз нарушения безопасности информации в ГИС;
3. Выбор и обоснование организационно-технических мер защиты, необходимых для нейтрализации актуальных угроз нарушения безопасности информации в ГИС;
4. Разработка технического задания и проектирование СЗИ;
5. Разработка организационно-распорядительной и исполнительной документации, регламентирующей порядок защиты информации и эксплуатации СЗИ;
6. Поставка и внедрение сертифицированных технических средств защиты информации;
7. Инструктаж и обучение персонала в авторизованных учебных центрах;
8. Оценка соответствия выполнения требований к защите информации в форме аттестации ГИС;
9. Техническое сопровождение и сервисное обслуживание СЗИ.

При выборе и реализации организационно-технических мер защиты информации специалисты ООО «КРИПТО-ПРО» руководствуются требованиями использования наиболее экономически-эффективных решений в соответствии с индивидуальными особенностями защищаемых ГИС и спецификой деятельности Заказчика.

Аттестация/Переаттестация ИСПДн по направлению: «Информационная безопасность»

Применяемые ООО «КРИПТО-ПРО» методы, организационно-технические меры и средства защиты также могут быть эффективно использованы при обеспечении безопасности негосударственных информационных систем, в том числе защиты коммерческой тайны, персональных данных , банковской тайны и пр..

Богатый опыт ООО «КРИПТО-ПРО» комплексного обеспечения безопасности информационных систем различного назначения, в том числе с использованием сертифицированных средств криптографической защиты собственной разработки и широкой номенклатурой партнерских решений, в процессе оказания услуг позволяет решить весь комплекс задач Заказчиков по защите информации и обеспечению юридической значимости электронных документов.

Основные положения законодательства в области защиты информации

На текущий момент в Российской Федерации создана и принята вертикаль (иерархия) руководящих и нормативно-методических документов по обеспечению защиты информации в ГИС.

Необходимость защиты информации, содержащейся в ГИС (далее – Информация), устанавливает Федеральный Закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», который обязывает владельца информации и оператора информационной системы, обеспечить защиту информации от неправомерных доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения и иных неправомерных действий (ст.14 п.9) путем принятия правовых, организационных и технически мер, направленных на соблюдение конфиденциальности информации ограниченного доступа и реализацию права на доступ к общедоступной информации (ст.16).

Теория и практика аттестации ГИС

В соответствии с 149-ФЗ (ст.16) защита информации обеспечивается, в частности:

1) предотвращением несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;

2) своевременным обнаружением фактов несанкционированного доступа к информации;

3) предупреждением возможности неблагоприятных последствий нарушения порядка доступа к информации;

4) недопущением воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;

5) возможностью незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;

6) постоянным контролем за обеспечением уровня защищенности информации.

Требования о защите Информации в соответствии с 149-ФЗ утверждены Приказом ФСТЭК России от 11 февраля 2013 г. № 17 (далее – Требования) и обязательны для выполнения с 1 сентября 2013 г., в том числе и при обработке информации в муниципальных информационных системах.

Требования предназначены для обладателей информации, заказчиков, заключивших государственный контракт на создание ГИС, операторов ГИС и лиц, осуществляющих обработку информации, являющейся государственным ресурсом.

В соответствии с Требованиями, защита Информации обеспечивается на всех стадиях создания и эксплуатации ГИС путем принятия организационных и технических мер, направленных на блокирование (нейтрализацию) угроз безопасности информации, в рамках системы (подсистемы) защиты информации (СЗИ).

Принимаемые организационные и технические меры должны быть направлены на исключение:

• неправомерных доступа, копирования, предоставления или распространения информации (обеспечение конфиденциальности информации);
• неправомерных уничтожения или модифицирования информации (обеспечение целостности информации);
• неправомерного блокирования информации (обеспечение доступности информации).

Для обеспечения защиты Информации проводятся следующие мероприятия:

• формирование требований к защите Информации;
• разработка СЗИ;
• внедрение СЗИ;
• аттестация ГИС по требованиям защиты информации (далее – аттестация) и ввод ее в действие;
• обеспечение защиты информации в ходе эксплуатации аттестованной ГИС;
• обеспечение защиты информации при выводе из эксплуатации аттестованной ГИС или после принятия решения об окончании обработки информации.

Формирование требований к защите информации включает:

• принятие решения о необходимости защиты Информации;
• классификацию ГИС по требованиям защиты информации (далее – классификация);
• определение актуальных угроз безопасности информации и разработку на их основе модели угроз;
• определение требований к СЗИ.

Классификация ГИС по четырем установленным класса защищенности проводится в зависимости от значимости обрабатываемой в ней информации и масштаба ГИС (федеральный, региональный, объектовый) в соответствии с таблицей:

Уровень значимости
информации

Масштаб информационной системы

Федеральный

Региональный

Объектовый

Источник: www.cryptopro.ru

Аттестация государственной информационной системы (ГИС)

Аттестационные испытания информационных систем по 17 приказу представляют собой комплекс организационных и технических мероприятий, целью которых является подтверждение соответствия объекта информатизации требуемому уровню безопасности и проведение мероприятий по анализу реализованной системы защиты информации в информационной системе (ИС).

Результатом проведения аттестационных испытаний объекта информатизации является выдача заявителю «Аттестата соответствия по требованиям безопасности информации».

Специалисты компании Центр Защиты Информации (Лицензия ФСТЭК России по ТЗКИ № 2758) проводят аттестационные испытания объектов информатизации любой степени сложности и в любом регионе Российской Федерации.

Коммерческое предложение на оказываемые услуги по аттестации объектов информатизации составляется индивидуально и зависит от следующих факторов:

• территориального месторасположения объекта;
• технических особенностей объекта;
• поставки необходимых средств защиты информации.

Состав и стоимость аттеастационных испытаний формируем после ответа на опросноый лист

Мероприятия и консультации:

• консультирование заказчика по вопросам обеспечения информационной безопасности;
• обследование и формирование требований к системе защиты информации в информационных системах (ИС);
• разработка системы защиты информации информационной системы и режимных;
• поставка, установку и настройку сертифицированных средств защиты;
• внедрение системы защиты информации информационной системы и режимных мер;
• анализ действующей и разработка комплекта организационно-распорядительной документации по защите информации;
• разработка технической и эксплуатационной документации на системы защиты информационной системы;
• разработка программы аттестационных испытаний;
• проведение всех необходимых аттестационных испытаний объекта информатизации;
• оформление отчётной документации и «Аттестата соответствия».

Этапы выполнения работ

№ этапа

Наименование этапа

Срок

выполнения работ

Результат работы

(отчетные материалы)

Обследование и формирование требований к защите информации

10 рабочих дней

1. Акт об обследовании

2. Акт классификации

3. Модель угроз и нарушителя

4. Техническое задание

Разработка системы защиты информации информационной системы и режимных мер

10 рабочих дней

с даты окончания работ по 1 этапу

Технический проект на систему защиты информации

Внедрение системы защиты информации информационной системы и режимных мер

Установка и настройка средств защиты информации

до 5 рабочих дней с даты закупки необходимых средств защиты информации, в соответствии с «Техническим проектом на систему защиты информации», разработанному по результатам выполнения 2 этапа

Установленные и настроенные программные/программно-аппаратные средства защиты информации

Разработка проектов организационно-распорядительной и регламентирующей документации в части системы защиты информации и режимных мер

5 рабочих дней с даты окончания работ по 3 этапу (пункт 3.1)

Проекты организационно-распорядительной и регламентирующей документации в части системы защиты информации и режимных мер

Аттестация информационной системы по требованиям защиты информации

до 10 рабочих дней с даты окончания работ по 3 этапу

1. Материалы аттестационных испытаний

2. Аттестат соответствия

Работы проводятся в соответствии с требованиями следующих нормативных документов:

• Федеральный закон от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации»;
• Указ Президента Российской Федерации от 6.03.1997 г. № 188 «Об утверждении перечня сведений конфиденциального характера»;
• Руководящий документ Гостехкомиссии России «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация АС и требования по защите информации»;
• Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
• Руководящий документ Гостехкомиссии России «Средства вычислительной техники. Межсетевые экраны. Защита от несанкционированного доступа к информации. Показатели защищенности от несанкционированного доступа к информации»;
• Руководящий документ. Защита от несанкционированного доступа к информации. Часть 1. Программное обеспечение средств защиты информации. Классификация по уровню контроля отсутствия незадекларированных возможностей (введен в действия Приказом Председателя Гостехкомиссии России № 114 от 04.06.1999 г.);
• ГОСТ РО-0043-003-2012 «Защита информации. Аттестация объектов информатизации. Общие положения»;
• ГОСТ РО-0043-004-2013 «Защита информации. Аттестация объектов информатизации. Программа и методики аттестационных испытаний»;
• Приказ ФСТЭК «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» от 11.02.2013 г. № 17;
• Приказ ФСТЭК «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.03.2013 г. № 21;
• Приказ ФСТЭК «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющий государственную тайну» от 29.04.2021 г. № 77.

Аттестация ГИС, АИС, помещений и АРМ на соответствие требованиям безопасности информации

Аттестация информационных систем по требованиям безопасности информации: что это и зачем нужна

• Приказ № 17 от 11.02.2013 г. Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах (для ГИС);
• Постановление Правительства РФ от 06.07.2015 № 676 О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем, и дальнейшего хранения содержащейся в их базах данных информации (для ГИС);
• Постановление Правительства РФ от 03.02.2012 г. № 79 О лицензировании деятельности по технической защите конфиденциальной информации (для ЗП, АРМ, АИС);
• Специальные требования и рекомендации по защите конфиденциальной информации (аттестация помещений).

Несмотря на то, что для некоторых информационных систем нет обязательного требования к аттестации на соответствие требованиям безопасности информации, в большинстве случаев регулятор обязует владельца объекта информатизации проводить периодическую оценку эффективности реализованных мер по обеспечению безопасности информации, например, для ИСПДн данное требование указано в нормативном документе ФСТЭК России № 21 от 18.02.2013 г. об утверждении состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных. На данный момент установлена только одна форма оценки эффективности реализованных мер защиты – аттестация. Таким образом, для полноценного выполнения требований действующего законодательства, необходимо своевременно проводить аттестацию своих информационных систем.

Аттестация государственных информационных систем (ГИС). Порядок аттестации

Государственные информационные системы (ГИС) – это информационные системы, которые создаются в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами, а также в иных установленных федеральными законами целях.

Порядок организации и проведения работ для ГИС по аттестации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну приведен в нормативном документе ФСТЭК России Приказ № 77 от 29 апреля 2021 г . Об утверждении порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну.

Порядок работ по аттестации ГИС по требования ФСТЭК России:

1. Представление исходных данных (технический паспорт, акт классификации, модель угроз и др.).
2. Обследование объекта информатизации.
3. Разработка и согласование программы и методик аттестационных испытаний (ПИМ АИ).
4. Проведение АИ (включая согласование с ФСТЭК России модели угроз безопасности информации, технического задания на создание, развитие или модернизацию объекта информатизации).
5. Оформление АИ.
6. Оформление аттестата соответствия.
7. Поддержка безопасности ОИ (протоколы контроля защиты информации на аттестованном объекте не реже одного раза в два года представляются в ФСТЭК России).

Аттестация информационной системы (ИС) по требованиям защиты информации

Информационные системы, не являющиеся ГИС, ИСПДн, ЗО КИИ, но в которых осуществляется обработка конфиденциальной информации, например, содержащей коммерческую тайну, также может быть аттестована. Как уже упоминалось ранее, существуют ситуации, когда у Заказчика может возникнуть необходимость оценки эффективности реализованных мер по обеспечению безопасности информации. На данный момент установлена только одна форма оценки эффективности реализованных мер защиты – аттестация.

Порядок работ по аттестации таких систем отличается от аттестации ГИС тем, что для АИС/ИС не требуется проводить согласование с ФСТЭК России модели угроз безопасности информации и технического задания.

Аттестация защищаемого помещения (ЗП) по требованиям безопасности информации

Аттестации на соответствие требованиям безопасности информации подлежат помещения, предназначенные для ведения конфиденциальных переговоров (защищаемые помещения). Обязательную аттестацию защищаемых помещений (ЗП) необходимо проводить при получении лицензий ФСТЭК России на деятельность по технической защите конфиденциальной информации или на деятельность по разработке и производству средств защиты, а также при получении лицензии ФСБ России на деятельность по разработке и производству средств защиты.

Порядок работ по аттестации ЗП также регламентируется нормативным документом ФСТЭК России Приказ № 77 от 29 апреля 2021 г . Порядок аттестации ЗП отличается от порядка АИС/ИС тем, что при аттестации ЗП проводится оценка эффективности защиты (защищенности) информации от утечки по техническим каналам.

Аттестат соответствия требованиям безопасности информации автоматизированного рабочего места (АРМ)

Аттестация на соответствие требованиям безопасности информации автоматизированного рабочего места (АРМ) может потребоваться в случае, если у Заказчика возникает необходимость подключения, отдельно стоящего АРМ к существующей аттестованной информационной системе.

Если АРМ будет использоваться в качестве тонкого клиента и на нем не будет обрабатываться информация ограниченного доступа, то тогда нет необходимости аттестовать этот АРМ как отдельную информационную систему, а достаточно распространить аттестат соответствия информационной системы или сегмента информационной системы на этот АРМ, предварительно выполнив требования по обеспечению безопасности для данного сегмента и установив необходимые средства защиты.

Однако, если на АРМ будет осуществляться обработка конфиденциальной информации, то есть простыми словами пользователь не только работает в интерфейсе ПО аттестованной информационной системы, но и выгружает данные из интерфейса на свой АРМ, в этом случае сам АРМ становится отдельной информационной системой и ему уже требуется аттестация.

Порядок работ по аттестации АРМ также регламентируется нормативным документом ФСТЭК России Приказ № 77 от 29 апреля 2021 г.

Источник: rtmtech.ru