Аттестация информационных систем (ИС)

Что такое аттестация ИС

Процесс необходим для подтверждения соответствия безопасности ИС установленным требованиям. Она подразумевает детальную проверку того, насколько надежно ИС защищена от несанкционированного доступа, утечки, искажения или уничтожения данных.

Аттестации подлежат различные виды информационных систем:

Государственные информационные системы (ГИС). Они предназначены для выполнения функций государственных структур и создаются с учетом требований федеральных законов и имеют стратегическое значение для государства. Могут быть федерального, регионального, муниципального уровня. Популярные примеры ГИС – «Электронный бюджет», «Госзакупки», ЕГАИС.

Информационные системы персональных данных (ИСПДн). Например, ИСПДн является база данных клиентов магазина или система расчета заработной платы предприятия.

Автоматизированные информационные системы (АИС). Это могут быть системы для обработки служебной или коммерческой информации, автоматизации бухгалтерских операций или управления производством.

Законодательные нормы

Нормативным документом, регулирующим процедурные основы и требования к аттестации ИС, является Приказ ФСТЭК от 29 апреля 2021 г. № 77 (Приказ 77)

При аттестации проверяется соответствие системы защиты информации следующим нормативным документам:

• по защите персональных данных - Федеральному закону от 27.06.2006 152-ФЗ «О персональных данных», приказу ФСТЭК России от 11 февраля 2013 г. №21.
• По защите государственных информационных систем - приказу ФСТЭК России от 11 февраля 2013 г. №17.

Документы включают детальные указания и стандарты, направленные на обеспечение безопасности информации с ограниченным доступом.

Порядок аттестации ИС 

Процесс аттестации ИС является комплексной и многоэтапной процедурой. Его порядок определяет Приказ 77:

Сбор информации.

Владелец ИС предоставляет органу аттестации пакет документов на информационную систему. Пакет включает модель угроз, технический паспорт информационной (автоматизированной) системы, проектную, эксплуатационную документацию системы защиты.

Планирование.

После того как документация изучена, орган по аттестации приступает к разработке документа Программа и методики проведения аттестационных испытаний. Эта программа становится основой для всего дальнейшего процесса и утверждается с заказчиком.

Проведение испытаний.

Здесь ИС проходит многоступенчатую проверку на соответствие установленным требованиям безопасности. Испытания призваны выявить потенциальные уязвимости и оценить готовность ИС противостоять различным угрозам.

Подведение итогов.

Анализируются полученные результаты и формируется заключение о соответствии объекта информатизации установленным требованиям. В случае успешного прохождения всех испытаний объект получает аттестат, подтверждающий его безопасность и надежность.

Особенности аттестации АИС

Существует множество АИС, которые не относятся к категориям ГИС, ИСПДн, КИИ, но обрабатывают данные, требующие защиты. В некоторых ситуациях заказчики сталкиваются с необходимостью проверки эффективности уже внедренных мероприятий по защите информации в таких АИС.

Единственным признанным на текущий момент способом проведения такой оценки является аттестация, которая позволяет оценить текущее состояние защиты информации, выявить потенциальные уязвимости.

После аттестации

Аттестат выдается на весь период, в течение которого объект будет эксплуатироваться, подтверждая, что он соответствует всем необходимым требованиям безопасности.

В ходе эксплуатации ИС, как правило, происходит ее модернизация. Для подтверждения, что новая конфигурация ИС соответствует всем актуальным требованиям безопасности, происходит в зависимости от характера изменений:

• В случае замены одних технических средств на другие, аналогичные по функционалу, или модификацию программного обеспечения для повышения производительности или безопасности ИС проводятся дополнительные аттестационные испытания. Данные обо всех изменениях вносятся в технический паспорт ИС.
• Если в ходе модернизации ИС происходит повышение уровня защищенности или изменение архитектуры защиты информации - это требует проведения повторной аттестации и получение нового аттестат.

Владельцы ИС несут ответственность за поддержание уровня безопасности на протяжении всего срока действия аттестата. Это включает в себя следование первоначальным требованиям защиты, указанным в аттестате, и проверку не реже одного раза каждые два года систем безопасности объекта. Протоколы, отражающие текущее состояние защиты информации, представляются во ФСТЭК России.

Преимущества обращения в УЦ ПРОФИ

Центр информационной безопасности УЦ ПРОФИ предлагает комплекс услуг, связанных с внедрением и поддержкой средств защиты информации, подготовке к аттестации объектов информатизации, проведению контроля аттестованных ИС.

Наша компания обладает необходимыми лицензиями ФСБ и ФСТЭК России и гарантирует, что решение, которое вы получите, будет соответствовать всем стандартам защиты информации.