Услуги

Материал из WikiNVX
Перейти к: навигация, поиск

Аттестация объектов информатизации

Для того чтобы понять надо ли Вашей организации проводить аттестацию объектов информатизации необходимо ответить на несколько вопросов:

Что такое аттестация и объекты информатизации?

Аттестация объекта информатизации - это комплекс организационно-технических мероприятий, в результате проведения которых организация получает специальный документ – «Аттестат соответствия», подтверждающий, что объект информатизации соответствует требованиям стандартов или иных нормативно-технических документов по безопасности информации, утверждённых органом исполнительной власти, уполномоченным в области обеспечения безопасности информации - Федеральной службой по техническому и экспортному контролю России (ФСТЭК). Под объектами информатизации, аттестуемыми по требованиям безопасности информации, понимаются автоматизированные системы, представляющие собой комплексы технических и программных средств, персонал работающий с ними; а также помещения, предназначенные для ведения конфиденциальных переговоров.

Надо ли Вашей организации проходить аттестацию?

На сегодняшний день обязательной аттестации подлежат:

- объекты информатизации, если они эксплуатируются в органах государственной власти РФ и обрабатывают информацию ограниченного доступа (персональные данные, профессиональная тайна, служебная тайна и т.д.), но не содержащую государственной тайны. К таким объектам информатизации относятся:

  • защищаемые помещения, в которых обсуждается информация ограниченного доступа;
  • государственные информационные системы.

- объекты информатизации, обрабатывающие государственную тайну:

  • выделенные помещения, в которых обсуждаются вопросы, содержащие государственную тайну;
  • автоматизированные системы, обрабатывающие государственную тайну;
  • средства изготовления и размножения секретных документов.

- объекты информатизации управления экологически опасными объектами:

  • защищаемые помещения, в которых обсуждается информация ограниченного доступа;
  • автоматизированные системы управления экологически опасными объектами.

Таким образом если в вашей организации есть объекты информатизации, подлежащие обязательной аттестации, то вы должны пройти данную процедуру.

Рекомендательный характер носит аттестация информационных систем персональных данных, используемых в государственных учреждениях. Самыми распространенными примерами таких систем являются «Отдел кадров» и «Бухгалтерия», которые есть в каждой организации.

Все остальные объекты информатизации могут пройти добровольную аттестацию при желании руководителей организаций. Добровольная аттестация позволит получить независимую оценку системы защиты и выявить неучтенные каналы утечки информации.

Что необходимо организации для прохождения аттестации?

Для прохождения аттестации автоматизированной системы организация должна предоставить:

- автоматизированную систему в реальных условиях эксплуатации для ее обследования;
- комплект исходных данных по автоматизированной системе и документацию в составе:

  • Акт классификации автоматизированной системы;
  • Состав технических и программных средств, входящих в автоматизированную систему;
  • Состав и схемы размещения средств защиты информации;
  • План размещения основных и вспомогательных технических средств и систем;
  • План контролируемой зоны;
  • Перечень защищаемых в автоматизированной системе ресурсов;
  • Описание технологического процесса обработки информации в автоматизированной системе;
  • Организационно-распорядительная документация разрешительной системы доступа к защищаемым ресурсам автоматизированной системы;
  • Инструкция пользователя автоматизированной системы;
  • Сертификаты соответствия на используемые средства защиты информации.

Для прохождения аттестации защищаемого помещения организация должна предоставить:

- защищаемое помещение в реальных условиях эксплуатации; - комплект исходных данных по защищаемому помещению и документацию в составе:

  • Технический паспорт на защищаемое помещение;
  • Организационно-распорядительную документацию разрешительной системы доступа в защищаемое помещение;
  • Инструкцию по эксплуатации средств защит информации;
  • Акты о специальной проверке импортных технических средств, установленных в защищаемом помещении.

Перечень исходных данных и документация могут изменяться в ходе проведения испытаний в зависимости от особенностей аттестуемого объекта информатизации.

Если Вы не знаете как составить необходимую документацию для прохождения аттестации мы можем Вам помочь.

Каков алгоритм проведения аттестации?

Алгоритм аттестации выглядит следующим образом:

  1. Предварительное ознакомление с аттестуемым объектом информатизации;
  2. Анализ исходных данных по аттестуемому объекту информатизации;
  3. Проведение экспертного обследования объекта информатизации и анализ разработанной документации по защите информации на этом объекте с точки зрения ее соответствия требованиям нормативной и методической документации;
  4. Проведение испытаний отдельных средств и систем защиты информации на аттестуемом объекте информатизации с помощью специальной контрольной аппаратуры и тестовых средств;
  5. Проведение комплексных аттестационных испытаний объекта информатизации в реальных условиях эксплуатации;
  6. Анализ результатов экспертного обследования и комплексных аттестационных испытаний объекта информатизации
  7. Составление заключения по результатам аттестации.

Что является результатом аттестации?

Основным результатом аттестации является «Аттестат соответствия». «Аттестат соответствия» выдается владельцу аттестованного объекта информатизации на период, в течение которого обеспечивается неизменность условий функционирования объекта информатизации и технологии обработки защищаемой информации, которые могут повлиять на характеристики, определяющие безопасность информации (состав и структура технических средств, условия размещения, используемое программное обеспечение, режимы обработки информации, средства и меры защиты), но не более чем на 3 года. Владелец аттестованного объекта информатизации несет ответственность за выполнение установленных условий функционирования объекта информатизации, технологии обработки защищаемой информации и требований по безопасности информации.

Отчетными документами по аттестации автоматизированной системы являются:

- Технический паспорт объекта информатизации
- Программа и методика проведения аттестационных испытаний
- Протоколы аттестационных испытаний
- Заключение по результатам аттестационных испытаний
- Аттестат соответствия

Отчетными документами по защищаемому помещению являются:

- Технический паспорт объекта информатизации
- Программа и методика проведения аттестационных испытаний
- Протоколы аттестационных испытаний
- Заключение по результатам аттестационных испытаний
- Аттестат соответствия

Защита персональных данных

Законодательство в области защиты персональных данных

- Федеральный закон от 19 декабря 2005 г. №160-ФЗ «О ратификации Конвенции Совета Европы о защите физических лиц при автоматизированной обработке персональных данных»;
- Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации»;
- Федеральный закон от 27.07.2006 N 152-ФЗ «О персональных данных»;
- Указ Президента РФ от 06.03.1997 N 188 «Об утверждении Перечня сведений конфиденциального характера»;
- Постановление Правительства Российской Федерации № 211 от 21.03.2012 «Об утверждении перечня мер, направленных на обеспечение выполнения обязанностей, предусмотренных Федеральным законом «О персональных данных» и принятыми в соответствии с ним нормативными правовыми актами, операторами, являющимися государственными или муниципальными органами»;
- Постановление Правительства Российской Федерации № 1119 от 01.11.2012 названи«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»;
- Постановление Правительства Российской Федерации № 687 от 15.09.2008 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
- Приказ ФСТЭК России № 21 от 18.02.2013 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»;
- Приказ ФСТЭК России № 17 от 11.02.2013 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
- ФСБ России № 149/54-144 от 21.02.2008 «Методические рекомендации по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации»;
- ФСБ России № 149/6/6-622 от 21.02.2008 «Типовые требования по организации и обеспечению функционирования шифровальных средств, предназначенных для обеспечения безопасности персональных данных».

Все ли информационные системы, обрабатывающие персональные данные необходимо защищать?

В соответствии с законодательством Российской Федерации все информационные системы, обрабатывающие персональные данные необходимо защищать. Информационной системой здесь является не программа, а комплекс технических, программных средств, а также персонала, работающего с ним. Кроме того, даже если в состав информационной системы не входит комплекс технических и программных средств, а информация обрабатывается на бумажных носителях, то ее все равно необходимо защищать.

Персональными данными является любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация.

Под обработкой персональных данных подразумевают любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

В каждой организации есть как минимум 2 информационные системы персональных данных, это «Отдел кадров» и «Бухгалтерия», которые обрабатывают персональные данные своих сотрудников.

Органы уполномоченные в вопросах защиты персональных данных

Органами уполномоченными в вопросах защиты персональных данных являются:

- Уполномоченный орган по защите прав субъектов персональных данных – Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор Министерства связи и массовых коммуникаций);
- Федеральный орган исполнительной власти, уполномоченный в области противодействия техническим разведкам и технической защиты информации – ФСТЭК России;
- Федеральный орган исполнительной власти, уполномоченный в области обеспечения безопасности – ФСБ России.

Область ответственности у каждого из этих органов своя:

- Роскомнадзор является основным исполнительным и надзорным органом по защите прав физических лиц, чьи персональные данные обрабатываются.
- ФСТЭК России осуществляет контроль защиты информации с использования технических средств.
- ФСБ России традиционно курирует вопросы защиты информации с использованием средств шифрования (криптографии).

Алгоритм организации защиты информационных систем, обрабатывающих персональные данные

Рассмотрим алгоритм организации защиты информационных систем, обрабатывающих персональные данные:

1. Назначение ответственного за организацию обработки персональных данных и администратора безопасности информационных систем, обрабатывающих персональные данные.

Подготовить документы: Приказ о назначении ответственного за организацию обработки персональных данных и администратора безопасности информационных систем, обрабатывающих персональные данные.

2. Документально регламентировать работу с персональными данными.

Подготовить документы:

- Политика в отношении обработки персональных данных;
- Правила обработки и обеспечения защиты персональных;
- Порядок доступа в помещения, в которых ведется обработка персональных данных;
- Правила рассмотрения запросов субъектов;
- Форма согласия субъекта на обработку ПДн.

3. Спроектировать систему защиты информации:

- определить необходимый уровень защиты;
- выявить актуальные угрозы;
- выбрать подходящий набор сертифицированных средств защиты информации.

Подготовить документы:

- Приказ о назначении комиссии по установлению уровня защищенности персональных данных;
- Акт установления уровня защищенности персональных данных для каждой системы;
- Частная модель угроз для каждой информационной системы персональных данных;
- Пояснительная записка системы защиты информации;
- Техническое задание на создание системы защиты информации;
- Регламент организации антивирусной защиты;
- Порядок резервирования и восстановления работоспособности технических средств и программного обеспечения, баз данных и средств защиты информации;
- Регламент проведения технического обслуживания;
- Перечень разрешенного к использованию программного обеспечения;
- Инструкция по организации парольной защиты;
- Инструкция администратора информационной системы;
- Инструкция администратора информационной безопасности;
- Регламент предоставления прав доступа к информации в информационных системах;
- Перечень лиц, допущенных к автоматизированной обработке данных в информационных системах;
- Перечень лиц, допущенных к неавтоматизированной обработке данных в информационных системах;
- Обязательство о соблюдении режима защиты персональных данных;
- План контролируемой зоны.

4. Направить в Роскомнадзор «Уведомление об обработке персональных данных»
5. Установить и настроить сертифицированные средства защиты информации
Установку и настройку сертифицированных средств защиты информации могут проводить только организации, имеющие лицензию ФСТЭК на осуществление работ по технической защите конфиденциальной информации.
6. Обучить сотрудников правилам работы с персональными данными и средствами защиты информации
7. Сформировать план внутренних проверок
Разработать документ «План проверок системы защиты информации»

Если вы являетесь государственным органом, то вам необходимо будет провести аттестацию защищаемых информационных систем персональных данных.

Наши услуги по защите информации

Наша компания предоставляется следующие услуги по защите информации:

  • Разработка полного пакета документов по организации системы защиты информации в вашей организации;
  • Установка и настройка сертифицированных средств защиты информации;
  • Аттестация информационных систем и помещений.