Защита информации и аттестация информационных систем

Аттестация информационных систем является заключительным этапом создания системы защиты, призванным подтвердить соответствие информационной системы требованиям по безопасности информации.

Проведение процедуры аттестации даст уверенность в том, что Ваши информационные системы надежно защищены и удовлетворяют всем требованиям по безопасности информации.

oib@aontt.ru

Напишите нам, чтоб заказать услугу

Где необходима обязательная аттестация информационной системы по требованиям безопасности информации?

Государственные и муниципальные информационные системы, в том числе государственные, муниципальные информационные системы персональных данных;

Информационные системы управления производством, используемых организациями оборонно-промышленного комплекса, в том числе автоматизированные системы станков с числовым программным управлением;

Объекты информатизации, для которых их владельцами установлено требование по проведению оценки соответствия систем защиты информации этих объектов требованиям по защите информации в форме аттестации:

  • значимые объекты критической информационной инфраструктуры Российской Федерации;
  • информационные системы персональных данных (за исключением государственных, муниципальных информационных систем персональных данных);
  • автоматизированные системы управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды.

Состав услуг

Подготовка объекта информатизации к проведению аттестации по требованиям безопасности информации:

  • обследование объекта информатизации специалистами АО «НТТ»;
  • анализ имеющейся документации на объект информатизации и систему защиты информации.

При необходимости по результатам обследования и анализа:

  • разработка необходимой проектной, эксплуатационной, организационно-распорядительной документации на систему защиты информации;
  • поставка, установка и настройка средств защиты информации в информационной системе;
  • разработка документов, определяющих правила и процедуры, реализуемые владельцем информационной систем (оператором) для обеспечения защиты информации в информационной системе в ходе ее эксплуатации;
  • внедрение организационных мер защиты информации;
  • анализ уязвимостей информационной системы и принятие мер защиты информации по их устранению.

Аттестационные испытания:

Аттестационные испытания включают следующие мероприятия и работы:

  • оценку соответствия технического паспорта объекта информатизации, акта классификации информационной (автоматизированной) системы, акта категорирования значимого объекта, состава и содержания эксплуатационной документации на систему защиты информации объекта информатизации и документов по защите информации владельца объекта информатизации требованиям по защите информации;
  • проверку наличия и согласования с ФСТЭК России модели угроз безопасности информации, технического задания на создание (развитие, модернизацию) объекта информатизации (только для государственных информационных систем);
  • обследование объекта информатизации на предмет оценки соответствия объекта информатизации и условий его эксплуатации требованиям по защите информации;
  • проверку наличия документов, содержащих результаты анализа уязвимостей, проведенного на этапах предварительных или приемочных испытаний системы защиты информации объекта информатизации;
  • проверку наличия сведений о средствах защиты информации, установленных на объекте информатизации, в реестре сертифицированных средств защиты информации (в случае наличия требования об обязательном применении сертифицированных средств защиты информации), или документов, подтверждающих проведение оценки соответствия средств защиты информации требованиям по безопасности информации в формах, отличных от сертификации;
  • проверку наличия у владельца объекта информатизации работников, ответственных за обеспечение защиты информации в ходе эксплуатации объекта информатизации, в том числе за проведение оценки угроз безопасности информации, управление (администрирование) системой защиты информации (администраторов безопасности), управление конфигурацией объекта информатизации, реагирование на инциденты, информирование и обучение персонала, контроль за обеспечением уровня защиты информации, а также проверку достаточности установленных для них обязанностей в соответствии с требованиями по защите информации;
  • оценку уровня знаний и умений работников владельца объекта информатизации, ответственных за обеспечение защиты информации, в соответствии с установленными для них обязанностями в эксплуатационной документации и документах по защите информации владельца объекта информатизации;
  • оценку соответствия принятых на объекте информатизации организационных мер требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;
  • оценку соответствия принятых на объекте информатизации технических мер по защите информации от несанкционированного доступа (воздействия на информацию) требованиям по защите информации и их достаточности для защиты от актуальных для объекта информатизации угроз безопасности информации;
attestat.png

После проведения аттестационных испытаний составляются «Заключение по результатам аттестационных испытаний» и «Протокол испытаний системы на соответствие требованиям по защите от несанкционированного доступа» (в случае аттестационных испытаний АС от утечки за счет ПЭМИН дополнительно составляется «Протокол испытаний системы на соответствие требованиям по защите информации от утечки по техническим каналам»).

На основании Заключения и Протоколов принимается решение о выдаче Аттестата соответствия требованиям безопасности.

oib@aontt.ru

Напишите нам, чтоб заказать услугу