Аттестация объектов информатизации

Как аттестовать информационную систему (ГИС и ИСПДн) на соответствие требованиям регуляторов?

Этап 1: обследование системы

Аттестация – это наиболее распространенная форма оценки эффективности текущего состояния защищенности информационной системы. Ее цель – подтвердить, что система защиты информации (СЗИ) информационной системы соответствует требованиям к безопасности информации, установленным уполномоченным федеральным органом исполнительной власти — ФСТЭК России.

Согласно требованиям регуляторов, государственные информационные системы (ГИС) обязательно должны быть аттестованы по требованиям защиты информации еще до начала эксплуатации. В случае информационных систем, использующих персональные данные (ИСПДн), аттестация носит рекомендательный характер.

По итогам проведенной аттестации информационной системе выдается аттестат соответствия – документ, подтверждающий соответствие системы защиты информации информационной системы требованиям безопасности информации и дающий право обрабатывать конфиденциальную информацию, в том числе, персональные данные. Для ГИС такой аттестат действует в течение всего срока эксплуатации, но с одним условием: система должна оставаться структурно и функционально неизменной. Для ИСПДн аттестат соответствия действует только 3 года и тоже только при структурной и функциональной неизменности информационной системы.

Процесс аттестации условно можно разделить на несколько этапов. На первом этапе проводится обследование, или аудит, информационной системы и состояния процессов обработки и защиты информации в компании. Такое обследование позволяет оценить, соответствует ли текущая организация обработки и защиты информации требованиям законодательства в этой сфере, и собрать исходные данные, необходимые для проведения технического проектирования СЗИ для ИСПДн или ГИС.

Комментирует Евгений Шувалов, руководитель департамента системных решений:

Обследование информационной системы не рекомендуется проводить силами внутренней команды проектировщиков и разработчиков системы. Работы по аудиту ИС обычно проводят компании, имеющие лицензии ФСТЭК России на деятельность по технической защите конфиденциальной информации.

Аудит начинается с анализа документации, регламентирующей порядок обработки и защиты информации, уже имеющейся в компании-заказчике. Затем аудитор собирает информацию из интервью с сотрудниками компании и заполненных ими опросных листов. Такие работы обычно проводятся по месту размещения головного офиса компании, но могут быть организованы и по телефону или электронной почте.

В ходе обследования также собирается информация о:

  • Программно-аппаратном обеспечении информационной системы

Составляется перечень серверов, рабочих станций и коммуникационного оборудования, входящих в состав ГИС или ИСПДн; собираются сведения о периферийном оборудовании, программном обеспечении, установленном на рабочих станциях и аппаратных конфигурациях серверов и рабочих станций.

  • Топологии информационной системы

Исследуются типы каналов связи, используемые сетевые протоколы и работающие в информационной системе сетевые сервисы; анализируются карта локальной вычислительной сети и схема информационных потоков.

  • Используемых средствах защиты, если они есть

Составляется перечень моделей средств защиты и их производителей, анализируются настройки конфигурации и схема установки СЗИ.  

Нередко при аудите используется наблюдение за ходом реальных процессов, связанных с обеспечением информационной безопасности.

Комментирует Евгений Шувалов, руководитель департамента системных решений:

После сбора и анализа информации о процессах обработки и защиты информации в компании, эксперт-аудитор выделяет критичные с точки зрения обработки персональных данных технологические и бизнес-процессы и оценивает их на степень соответствия требованиям по обработке информации ограниченного доступа.

По итогам обследования разрабатываются рекомендации по доработке локальных нормативных актов, регламентирующих порядок обработки и защиты информации, и реализации необходимых организационных и технических мер защиты ГИС/ИСПДн, среди которых:

  1. Рекомендации по составу и качеству необходимых организационно-технических мероприятий, например, по необходимым изменениям в бизнес-процессах, связанных с обработкой информации ограниченного доступа
  2. Рекомендации, как привести процессы обработки информации ограниченного доступа, в т.ч. ПДн с использованием ИС (ИСПДн/ГИС), в соответствие требованиям нормативных и методических документов по защите информации
  3. Планы мероприятий по реализации требований законодательства РФ в сфере обработки и защиты информации (разрабатываются совместно со специалистами заказчика)

Вся эта информация будет собрана и предоставлена компании-заказчику в Отчете по результатам анализа процессов обработки информации ограниченного доступа и оценки их соответствия требованиям законодательства Российской Федерации, нормативных и методических документов, регламентирующих порядок обработки и защиты информации ограниченного доступа.

После того, как проведен аудит информационной системы, можно переходить к следующему этапу процесса аттестации — разработке модели угроз и модели нарушителя безопасности информации, т.е. описанию существующих угроз, их реалистичности и вероятности, а также возможных последствий. Об этом этапе аттестации читайте в следующей статье серии.

 

Полный список требований к защите информации в ГИС можно найти в приказе ФСТЭК № 17. Он определяет, какие мероприятия нужно провести, чтобы обеспечить защиту информации, содержащейся в ГИС и при этом не относящейся к государственной тайне.

При хранении и обработке данных в ИСПДн, требования к уровню защищенности данных  регулируются Постановлением Правительства РФ №1119 и приказом ФСТЭК №21.