Аттестация ГИС (Защита государственных информационных систем)

Наша компания предлагает проведение полного комплекса мероприятия по защите государственных информационных систем в рамках исполнения требований Приказа ФСТЭК от 11 февраля 2013 г. N 17 «Об утверждении требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» и Мер защиты информации в государственных информационных системах. Утверждены ФСТЭК России 11.02.2014 г.

• Проведение обследования ГИС;
• Классификация ГИС;
• Разработка Модели угроз ГИС;
• Разработка Технического задания на создание системы защиты;
• Разработка комплекта проектов организационно-распорядительных документов;
• Разработка и внедрение системы защиты информации (Проектирование);
• Поставка, установка и настройка средств защиты информации;
• Обучение специалистов работе со средствами защиты информации;
• Разработка программы и методики испытаний системы защиты в ГИС;
• Проведение аттестационных испытаний, выдача аттестата соответствия ГИС по требованиям защиты информации.

В период выбора организационных и технических мер защиты информации специалисты компании берут за основу требования по применению актуальных экономических решений, исходя из особенностей защиты ГИС и деятельности клиента.

Используемые методы, меры и средства обеспечения защиты могут использоваться так же для обеспечения безопасности негосударственных систем, включая защиту коммерческой или банковской тайны, личной информации.

Благодаря опыту компании по разработке комплекса мер по защите информации, включая криптографическую защиту и широкую линейку партнерских решений, появляется возможность решить многие задачи клиентов, направленных на защиту информации и обеспечение значимости электронного документооборота.

Законодательные акты в области защиты информации

В РФ существует иерархия документов нормативно-методического характера по обеспечению защиты информации.

ФЗ №149 от 27.07.2006 г. установлена необходимость защиты информации ГИС, согласно которому владелец информации или оператор ИС обязан обеспечить защиту информации от несанкционированного доступа, блокирования, уничтожения, распространения, копирования или других действий с помощью использования комплекса мер по соблюдению сохранности информации и ограничения доступа к общедоступной информации.

Исходя из требований ФЗ №149 от 27.07.2006 г., обеспечивается защита информации, в том числе:

• по предотвращению доступа к информации или передачи ее лицам, которые не имеют к ней доступ;
• по определению попыток несанкционированного доступа к данным;
• по предупреждению негативных последствий вследствие нарушения доступа;
• по предотвращению влияния технических средств обработки данных, из-за которых возможно нарушение функционирования;
• по восстановлению информации, которая была уничтожена в процессе несанкционированного доступа;
• по контролю над уровнем защиты информации.

В соответствии с ФЗ № 149 от 27.07.2006 г. требования утверждены приказом и обязательны для исполнения, в том числе и в процессе обработки ИС.

Требования распространяются на носителей информации, заказчиков, которые подписали контракт на разработку ГИС, операторов, а также лиц, выполняющих обработку информации государственного назначения.

Исходя из Требований, должна обеспечиваться защита информации на всех стадиях создания и эксплуатации за счет использования комплекса мер для устранения угроз нарушения доступа в рамках СЗИ.

Проведение оценки уязвимости необходимо для определения возможностей нарушителя и предотвращения угроз безопасности данных.

Если в процессе анализа будут выявлены уязвимости, которые могут повлечь за собой появление дополнительных угроз безопасности информации, то осуществляется корректировка модели угроз, и, если возникает необходимость, принимаются меры по защите информации, которые будут направлены на ликвидацию уязвимостей или на предотвращение возможности использования уязвимостей нарушителем.

Проведение приемочных испытаний выполняется в строгом соответствии с ГОСТ и направлены на контроль выполнения требований, указанных в техническом задании.Аттестация ГИС предполагает выполнение организационно-технических мероприятий, по результатам которых определяется соответствие СЗИ требованиям безопасности.

После осуществления аттестационных испытаний формируются протоколы и заключение о соответствии требованиям безопасности, выдается аттестат, если результат оказывается положительным.

Аттестация может проводиться на основе результатов испытаний соответствующих сегментов ГИС, которые используют технологию обработки данных. Внедрение ГИС может проводиться только при наличии аттестата соответствия.