Мы разошлем вашу новость, анонс или пресс-релиз в более 1000 СМИ
Мы опубликуем вашу новость в самых авторитетных и профильных изданиях России и СНГ
Предоставим подробный отчет, с ссылками на все публикации
Популярные новости
09.10.2020 Hi-tech, софт, компьютеры
Как обеспечить безопасность информационной системы и получить аттестат соответствия требованиям защиты информации?
В рамках осенней серии БФТ-вебинаров прошла онлайн-встреча, которая была посвящена вопросам информационной безопасности информационных систем и их аттестации по требованиям защиты информации. На вебинаре рассмотрели основные этапы обеспечения информационной безопасности и поговорили о том, как и кем осуществляется ее проверка на соответствие требованиям законодательства.
ЧТО ТАКОЕ «ИНФОРМАЦИОННАЯ СИСТЕМА» И КТО ОТВЕЧАЕТ ЗА ЕЕ ЗАЩИТУ
Согласно Федеральному закону от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»:
• информационная система (ИС) – это совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств;
• оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
Оператор ИС отвечает за создание и функционирование информационной системы, в том числе – за ее защиту.
В нормативно-правовом поле к ИС относятся: Государственная информационная система (ГИС), информационная система персональных данных (ИСПДн), Критическая информационная инфраструктура (КИИ) и автоматизированная система управления технологическим процессом (АСУ ТП). Рассмотрим подробнее процесс обеспечения безопасности и аттестацию на примере двух систем: ГИС и ИСПДн.
Государственная информационная система (ГИС) – это информационная система, созданная на основании федеральных законов, законов субъектов РФ, правовых актов государственных органов или решений органов местного самоуправления. Она обеспечивает реализацию полномочий госорганов и обеспечивает обмен информацией между ними.
Информационная система персональных данных (ИСПДн) – информационная система, содержащая совокупность персональных данных и осуществляющая их обработку с помощью или без средств автоматизации.
Важно отметить, что большинство ГИС являются также и ИСПДн.
1. Классификация ИС – составление акта классификации и модели угроз.
2. Определение требований к системе защиты информации (СЗИ) – составление технического задания на проектирование СЗИ.
3. Проектирование СЗИ – разработка технического проекта СЗИ.
4. Разработка организационной и эксплуатационной документации – разработка документов согласно перечню, определенному в техническом задании.
5. Внедрение, испытания и опытная эксплуатация – внедрение системы защиты информации в соответствии с пояснительной запиской к техническому проекту, составление отчетных документов: документы на поставку средств защиты информации, программа и методики приемочных испытаний системы защиты ГИС или ИСПДн, протоколы и заключение по результатам приемочных испытаний, акты внедрения средств защиты информации.
6. Аттестация ИС – комплексная проверка на соответствие принимаемых для обеспечения информационной безопасности ИС мер требованиям законодательства, по результатам которой выдается аттестат соответствия требованиям безопасности информации.
7. Ввод ИС в промышленную эксплуатацию – ввод ИС в эксплуатацию на основании приказа руководителя организации после получения аттестата соответствия.
НА КАКИЕ НОРМАТИВНО-ПРАВОВЫЕ ДОКУМЕНТЫ ОПИРАТЬСЯ
Нормативно-правовые документы устанавливают правила введения ИС в эксплуатацию, регламентируют набор необходимых мер по обеспечению информационной безопасности, определяют органы, имеющие право на аттестацию ИС, и правила ее проведения.
• Постановление Правительства РФ от 6 июля 2015 г. № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации»;
• Приказ ФСТЭК России от 11.02.2013 № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».
• Постановление Правительства РФ от 1 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
• Приказ ФСТЭК России от 18.02.2013 № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
• Приказ Федеральной службы безопасности Российской Федерации от 10 июля 2014 г. № 378 г. Москва "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности»;
• Постановление Правительства РФ от 21.03.2012 № 211 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом о персональных данных и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами».
Аттестация объектов информатизации - комплекс организационно-технических мероприятий, в результате которых посредством специального документа – «Аттестата соответствия», подтверждается, что объект соответствует требованиям стандартов или иных нормативно-технических документов по информационной безопасности, утвержденных ФСТЭК России.
Аттестация ИС на соответствие требованиям защиты информации – это комплексная проверка реализуемых в организации мер по обеспечению информационной безопасности ИС на соответствие требованиям законодательства. Она может быть как с положительным заключением и выдачей аттестата соответствия, так и с отрицательным заключением и рекомендациями относительно того, что нужно устранить.
Аттестация по требованиям безопасности – завершающая стадия ввода в действие системы защиты информации, которая выступает подтверждением эффективности комплекса мер и средств защиты информации, а также определяет конкретные условия эксплуатации информационной системы.
Аттестация проводится до ввода ИС в эксплуатацию. Аттестат соответствия выдается на весь срок эксплуатации информационной системы.
• Объекты информатизации, предназначенные для обработки информации, составляющей государственную тайну;
• Объекты информатизации, предназначенные для управления экологически опасными объектами;
• Информационные системы государственных органов;
• Критические информационные инфраструктуры.
Отметим, что региональные информационные системы также являются ГИС согласно федеральному закону от 27 июля 2006 г. ФЗ-149 «Об информации, информационных технологиях и о защите информации». Таким образом, региональные и муниципальные системы, реализованные на базе продуктов линейки АЦК, являются объектами аттестации.
• Разработка ТЗ (ЧТЗ) в части обеспечения информационной безопасности объекта информатизации;
• Проектирование систем защиты информации;
• Поставка средств защиты информации;
• Поставка средств криптографической защиты информации;
• Разработка организационно-распорядительной и технической документации на систему защиты информации;
• Внедрение систем и средств защиты информации;
• Ввод в эксплуатацию ИС в защищенном исполнении;
• Аттестация объекта информатизации по требованиям безопасности информации;
• Техническая поддержка систем защиты информации;
• Консультирование по вопросам обеспечения информационной безопасности в ходе эксплуатации ИС.
Обратитесь в Департамент по развитию государственных и корпоративных проектов и получите всю интересующую Вас информацию:
bft@bftcom.com
+7 (495) 784-70-00
