Услуги по аттестации информационных систем

Центр защиты информации «Север» предлагает оказать услуги по аттестации информационных систем персональных данных, государственных информационных систем, автоматизированных систем. в том числе по подключению органов управления образованием и образовательных учреждений к ЗСПД РЦОИ и ФИС ФРДО.

Наша компания имеет все необходимые лицензии ФСТЭК и ФСБ России в области информационной безопасности, а также квалифицированных специалистов, опыт и ресурсы для выполнения аттестационных работ любой сложности в любом районе Республики Саха (Якутия) и регионах России.

Аттестация

Аттестация представляет собой комплекс работ по созданию и внедрению системы защиты информации, проведении испытательных работ, подготовке и разработке технической документации, в итоге которой организации предоставляется пакет документов о соответствии требованиям безопасности информации, предъявляемым к информационным системам.

Требования о проведении аттестационных испытаний указаны в Федеральном законе от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», приказом ФСТЭК России № 17 от 11 февраля 2013 г. «об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах», приказом ФСТЭК России № 21 от 18.02.2013 г. «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» и др.

Аттестационные испытания могут проводиться только организацией, имеющей соответствующие лицензии ФСБ и ФСТЭК России.

Этапы и содержание работ по аттестации:

  1. Формирование требований к защите информации, содержащейся в информационной системе

    Формирование требований к защите информации, содержащейся в информационной системе включает следующие мероприятия:

      принятие решения о необходимости защиты информации, содержащейся в информационной системе;
      классификацию информационной системы по требованиям защиты информации;
      определение угроз безопасности информации, реализация которых может привести к нарушению безопасности информации в информационной системе, и разработку на их основе модели угроз безопасности информации;
      определение требований к системе защиты информации информационной системы.
  2. Разработка системы защиты информации информационной системы

    Разработка системы защиты информации информационной системы осуществляется в соответствии с техническим заданием на создание информационной системы и включает:

      проектирование системы защиты информации информационной системы;
      разработку эксплуатационной документации на систему защиты информации информационной системы;
      макетирование и тестирование системы защиты информации информационной системы.

    При разработке системы защиты информации информационной системы учитывается ее информационное взаимодействие с иными информационными системами и информационно-телекоммуникационными сетями, в том числе с информационными системами уполномоченного лица, а также применение вычислительных ресурсов (мощностей), предоставляемых уполномоченным лицом для обработки информации.

  3. Внедрение системы защиты информации информационной системы

    Внедрение системы защиты информации информационной системы осуществляется в соответствии с проектной и эксплуатационной документацией на систему защиты информации информационной системы для этого необходимо провести:

      установку и настройку средств защиты информации в информационной системе;
      разработку документов, определяющих правила и процедуры, реализуемые оператором для обеспечения защиты информации в информационной системе в ходе ее эксплуатации;
      внедрение организационных мер защиты информации;
      предварительные испытания системы защиты информации информационной системы;
      опытную эксплуатацию системы защиты информации информационной системы;
      анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению;
      приёмочные испытания системы защиты информации информационной системы.
  4. Аттестация информационной системы.

    Для проведения аттестационных испытаний применяются следующие методики проверок:

      экспертно-документальный метод, предусматривающий проверку соответствия системы защиты информации информационной системы установленным требованиям по защите информации, на основе оценки эксплуатационной документации, организационно-распорядительных документов по защите информации, а также условий функционирования информационной системы;
      анализ уязвимостей информационной системы, в том числе вызванных неправильной настройкой (конфигурированием) программного обеспечения и средств защиты информации;
      испытания системы защиты информации путем осуществления попыток несанкционированного доступа (воздействия) к информационной системе в обход ее системы защиты информации.

По результатам аттестационных испытаний оформляются следующие документы:

    протокол аттестационных испытаний;
    технический паспорт информационной системы;
    заключение по результатам аттестационных испытаний;
    аттестат соответствия.

Ответственность

Нарушение требований законодательства Российской Федерации в области защиты информации влечет за собой дисциплинарную, гражданско-правовую, административную или уголовную ответственность.