Аттестация государственных информационных систем (ГИС)

Что такое ГИС

Эти системы - неотъемлемое звено современного государственного управления. Определение ГИС дает Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» (149-ФЗ). Согласно нему ГИС создаются на основании законов и нормативных актов федеральных и региональных органов власти.

ГИС поддерживает деятельность государственных органов, обеспечивая автоматизацию процессов сбора, обработки и предоставления данных. Они являются фундаментальным инструментом для поддержки прозрачности и доступности государственных услуг для населения. Системы охватывают различные сферы деятельности, включая здравоохранение, налогообложение, социальное обеспечение и многое другое.

Это могут быть системы обеспечения федеральных, региональных и муниципальных служб, базы данных населения, системы налогового учета, регистрационные и лицензионные системы, информационные платформы здравоохранения, образования и социальной защиты. Такие системы предназначены для обеспечения деятельности органов власти на всех уровнях.

Законодательные требования

Процедуры, по которым информационные системы правительственных структур должны проходить аттестацию определяют методические рекомендации ФСТЭК - Приказ ФСТЭК от 29 апреля 2021 г. № 77 (Приказ 77).

Кроме 149-ФЗ, правовыми основаниями для аттестации ГИС являются:

• Постановление Правительства Российской Федерации от 06.07.2015
  № 676 «О требованиях к порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода из эксплуатации государственных информационных систем и дальнейшего хранения содержащейся в их базах данных информации» (Постановление 676);
• Приказ ФСТЭК от 11.02.2013 № 17 (Приказ № 17 ФСТЭК ), который определяет критерии защиты и аттестации ГИС.

Что подлежит аттестации

Согласно Постановлению 676 аттестация ГИС является неотъемлемым условием для ввода ее в эксплуатацию. При аттестации анализируется способность ГИС противостоять угрозам внешнего и внутреннего характера. Процесс способствует защите данных граждан, государственных органов и в целом повышает доверие к электронному правительству.

Объекты защиты ГИС

Эти объекты определяет пункт 8 Приказа № 17 ФСТЭК. К ним относятся:

технические средства (в том числе средства вычислительной техники, машинные носители информации, средства и системы связи и передачи данных, технические средства обработки буквенно-цифровой, графической, видео- и речевой информации), общесистемное, прикладное, специальное программное обеспечение, информационные технологии, а также средства защиты информации.

Порядок аттестации

Аттестация ГИС – это процесс, включающий в себя комплексную проверку защищенности данных в реальных условиях использования и выполнение требований ФСТЭК по защите информации в ГИС.

Кто проводит

Для аттестации необходимо обращаться к специализированным организациям, которые обладают лицензией ФСТЭК на выполнение работ по технической защите данных с ограниченным доступом.

При этом, согласно п.17 Приказа № 17 ФСТЭК, запрещается проведение аттестации сотрудниками, которые ранее занимались созданием и внедрением системы защиты информации (СЗИ). Этот запрет продиктован необходимостью независимой оценки безопасности информации и исключения возможных конфликтов интересов.

Исходные данные

Перечень документов, необходимых для аттестации ГИС указан в 17.1. Приказа № 17 ФСТЭК. К ним относятся:

• модель угроз;
• акт классификации;
• техзадание на создание ГИС или СЗИ;
• проектная и эксплуатационная документация на СЗИ;
• организационно-распорядительная документация по защите информации;
• результаты мониторинга уязвимостей;
• отчеты об испытаниях СЗИ.

Модель угроз и техзадание должны быть согласованы с ФСТЭК (п.3 Постановления 676).

Этапы работ

Первоначальный сбор данных.

Включает изучение предоставленной документации, проверку ее соответствия реальным условиям эксплуатации системы.

Обследование системы.

На этом этапе осуществляется экспертное тестирование системы на соответствие критериям безопасности.

Формирование и утверждение программ и методик аттестационных испытаний.

Данный этап подразумевает подготовку и согласование документа, на основе которого будут проводиться контрольные испытания.

Осуществление испытаний.

На этом этапе происходит тестирования защитных механизмов на предмет их уязвимости и соответствия заявленным требованиям.

Отчет по проведенным испытаниям.

Подготавливаются протоколы испытаний, в которых оценивается риск функционирования системы на основании возможных угроз. На основании сформированного отчета принимается решение о выдаче аттестата.

Оформление аттестата соответствия.

Этот документ подтверждает, что система обладает нужным уровнем защиты и готова к эксплуатации.

Итоги аттестации

После успешного завершения процедуры получения аттестата соответствия владелец может вводить ГИС в промышленную эксплуатацию.

В процессе эксплуатации ГИС требует постоянного мониторинга, который включает в себя проверку уровня безопасности данных, находящихся в системе, с предоставление протоколов контроля во ФСТЭК.

Контрольное мероприятие необходимо проводить:

• для 1 класса защищенности - не реже одного раза в год;
• для 2 и 3 классов защищенности - не реже одного раза в два года.

Аттестат предоставляется на весь период, в течение которого объект будет эксплуатироваться. Повторная аттестация государственных информационных систем может потребоваться, если в ходе модернизации ГИС происходит повышение уровня защищенности или изменение архитектуры защиты информации.

Преимущества обращения в УЦ ПРОФИ

Для успешного прохождения аттестации важен грамотный подход и опыт в реализации задач по обеспечению информационной безопасности. Компания УЦ ПРОФИ предоставляет полный спектр услуг по подготовке и проведению процесса аттестации ГИС.

Мы имеем лицензии ФСБ и ФСТЭК России, и готовы провести полный комплекс мероприятий, связанных с получением аттестата, обеспечив высокий уровень защиты ГИС и её объектов.