Аттестация объектов информатизации
Компания ООО «АСС АйТи» — лицензиат ФСТЭК России и ФСБ России. Выданные лицензии Федеральных органов исполнительной власти являются подтверждением уровня квалификации наших специалистов и дают право в полном объеме проводить любые технические и организационные мероприятия в сфере информационной безопасности, в том числе аттестации объектов информатизации. В процессе такой аттестации осуществляется экспертное исследование на предмет соответствия системы защиты объекта информатизации требованиям законодательства РФ в области информационной безопасности.
Задачи аттестации
ООО «АСС АйТи» предоставляет полный пакет необходимых услуг: от проведения подготовительных работ до аттестации объектов информатизации (обязательной и/или добровольной) или оценки эффективности и проведения периодического контроля. Кроме того, обеспечивается сопровождение таких объектов:
- Автоматизированных систем (АС), предназначенных для работы с конфиденциальной информацией.
- Распределенных информационных систем (сегментов).
- Объектов, составляющих критическую информационную инфраструктуру (КИИ) – в соответствии с ФЗ № 187 от 26.07.2017 и приказом ФСТЭК № 239 от 25.12.2017.
- Информационных систем персональных данных (ИСПДн) – в соответствии с ФЗ № 152 от 27.07.2006 и приказом ФСТЭК № 21 от 18.02.2013.
- Государственных информационных систем (ГИС) – по требованиям, установленным приказом ФСТЭК № 17 от 11.02.2013.
С какой целью проводится аттестация?
Оформление некоторых лицензий, выдачу которых осуществляют ФСБ России и ФСТЭК России, невозможно без наличия «Аттестата соответствия». Получив «Аттестат соответствия», можно начать обрабатывать информацию ограниченного доступа и при этом иметь полную гарантию того, что используемые системы защиты соответствуют всем требованиям действующих нормативных документов и обеспечивают эффективную защиту информации.
Этапы проведения аттестации объектов информации
- Обследование объекта информатизации
- Разработка проектов организационно-распорядительной документации на объект, подлежащий аттестации, и помощь в подготовке объекта информатизации к соответствующим испытаниям
- Разработка программы проведения аттестации и методик проведения аттестационных испытаний
- Поставка, установка, проведение пусконаладочных работ (конфигурирования) и ввод в эксплуатацию систем и средств, предназначенных для защиты информации
- Проведение мероприятий инструментального контроля соответствия объекта информатизации требованиям безопасности информации.
- Подготовка отчетной документации (протоколов проведения испытаний и заключения по их результатам).
Результаты аттестации
По завершении аттестации объекта информатизации заказчику выдается «Аттестат соответствия», подтверждающий полное соответствие всем предъявляемым к объекту информатизации требованиям, а также, что созданные условия полностью отвечают действующим требованиям, предъявляемым к безопасности информации, а также то, что организованная на объекте система защиты информации является эффективной. Наличие такого документа дает возможность обрабатывать информацию ограниченного доступа.
Аттестация государственных информационных систем
Аттестационные испытания представляют собой комплекс организационных и технических мероприятий, целью которых является подтверждение соответствия системы защиты информации объекта информатизации требуемому уровню безопасности при обработке информации конфиденциального характера.
Результатом проведения аттестационных испытаний объекта информатизации является выдача заявителю «Аттестата соответствия по требованиям безопасности информации».
В рамках оказания услуги по аттестации гис выполняются следующие виды:
- обследование (анализ) текущего состояния системы защиты;
- предварительная классификация требуемого уровня защищенности объекта информатизации;
- определение перечня и состава объектов информатизации, подлежащих аттестации (оценке);
- определение возможных каналов утечки информации (актуальных угроз);
- определение перечня мероприятий по исключению возможных каналов утечки информации (актуальных угроз);
- проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации);
- разработка комплекта организационно-распорядительной документации на объект информатизации (приказы, распоряжения, инструкции, руководства);
- проведение всех необходимых аттестационных испытаний объекта информатизации;
- сопровождение систем информационной безопасности и ежегодный контроль эффективности систем защиты информации, объектов информатизации;
- консультирование по всему спектру вопросов защиты объектов информатизации.
Аттестация информационных систем персональных данных
Аттестационные испытания представляют собой комплекс организационных и технических мероприятий, целью которых является подтверждение соответствия системы защиты информации объекта информатизации требуемому уровню безопасности при обработке информации конфиденциального характера. Результатом проведения аттестационных испытаний объекта информатизации является выдача заявителю «Аттестата соответствия по требованиям безопасности информации».
В рамках оказания услуги выполняются следующие виды:
- обследование (анализ) текущего состояния системы защиты;
- определение перечня и состава объектов информатизации, подлежащих аттестации (оценке);
- определение возможных каналов утечки информации (актуальных угроз);
- определение перечня мероприятий по исключению возможных каналов утечки информации (актуальных угроз);
- проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации) с целью максимального исключения угроз НСД;
- разработка комплекта организационно-распорядительной документации на объект информатизации (приказы, распоряжения, инструкции, руководства);
- проведение всех необходимых аттестационных испытаний объекта информатизации;
- сопровождение систем информационной безопасности и ежегодный контроль эффективности систем защиты информации, объектов информатизации;
- консультирование по всему спектру вопросов защиты объектов информатизации.
Аттестация ключевых систем информационной инфраструктуры
Аттестационные испытания объекта информатизации являются комплексным обследованием защищаемого объекта с целью оценки соответствия требуемому законодательством уровню безопасности. Аттестация объектов информатизации осуществляется в соответствии с нормативно-правовыми и методическими документами ФСТЭК, а результатом является выдача «Аттестата соответствия по требованиям безопасности информации», что дает право обработки конфиденциальной (секретной) информации на объекте информатизации в течение установленного срока.
В рамках оказания услуги выполняются следующие виды:
- обследование (анализ) текущего состояния системы защиты;
- предварительное категорирование объекта КИИ;
- определение перечня и состава объектов информатизации, подлежащих аттестации (оценке);
- определение возможных каналов утечки информации (актуальных угроз);
- определение перечня мероприятий по исключению возможных каналов утечки информации (актуальных угроз);
- проведение мероприятий по защите информации (поставка, установка и настройка средств защиты информации);
- разработка комплекта организационно-распорядительной документации на объект информатизации (приказы, распоряжения, инструкции, руководства);
- проведение всех необходимых аттестационных испытаний объекта информатизации;
- сопровождение систем информационной безопасности и ежегодный контроль эффективности систем защиты информации, объектов информатизации;
- консультирование по всему спектру вопросов защиты объектов информатизации.
Ежегодный периодический контроль
Данная услуга необходима для Заказчиков, эксплуатирующих аттестованные по требованиям безопасности информации объекты информатизации.
Согласно нормативно-методическим документам по защите информации в организации должен проводиться периодический контроль, а также в случаях изменения условий и технологии обработки защищаемой информации, контроль состояния (эффективности) защиты информации в организации.ООО «АСС АйТи» выполняет работы по периодическому контролю, в ходе которых выявляются и документируются возможные изменения. При критичных изменениях, требующих изменения системы защиты, мы сможем осуществить необходимые мероприятия по приведению к соответствию.
В результате работ по периодическому контролю Заказчик актуализирует состояние защиты объекта информатизации, подтверждает действие выданного ранее Аттестата соответствия.
Другие услуги
