Статья опубликована в рамках: CXLIII Международной научно-практической конференции «Научное сообщество студентов XXI столетия. ТЕХНИЧЕСКИЕ НАУКИ» (Россия, г. Новосибирск, 07 ноября 2024 г.)
Наука: Информационные технологии
Скачать книгу(-и): Сборник статей конференции
ПОРЯДОК АТТЕСТАЦИИ ИНФОРМАЦИОННЫХ СИСТЕМ
THE PROCEDURE FOR CERTIFICATION OF INFORMATION SYSTEMS
Adelya Mingatinova
student, Department of Information Systems Security, Samara State University,
Russia, Samara
Alexander Patsyuk
scientific supervisor, PhD in Technical Sciences, associate professor, Department of Information Systems Security, Samara State University,
Russia, Samara
АННОТАЦИЯ
Рассмотрены значение и содержание процедуры аттестации информационной системы на соответствие требованиям безопасности.
Рассмотрены виды информационных систем и нормативные документы Регуляторов для проведения аттестации.
Представлена универсальная методика проведения аттестации информационных систем, удовлетворяющая рекомендациям ФСТЭК.
ABSTRACT
The significance and content of the information system certification procedure for compliance with security requirements are considered.
The types of information systems and regulatory documents of Regulators for certification are considered.
A universal methodology for the certification of information systems that meets the recommendations of the FSTEC is presented.
Ключевые слова: информационная безопасность, аттестация, информационные системы, оценка соответствия.
Keywords: information security, certification, information systems, conformity assessment.
Введение
Практически любая организация, работающая с персональными данными (ПДн) и другими видами информации, обязана обеспечивать их защиту. В некоторых случаях это требует наличия аттестата, подтверждающего наличие у информационной системы необходимого уровня защищенности [8].
Работа информационных систем персональных данных (ИСПДн) и все вопросы с обработкой ПДн регулирует Федеральный закон № 152 «О персональных данных» [7].
Информационные системы, работающие с другими видами информации, регулируются документами ФСТЭК [2, 3, 4]. Владельцы систем должны анализировать эффективность принимаемых мер по обеспечению безопасности обрабатываемой информации [8]. Методика оценки может быть разной и зависит от масштаба и структуры объекта оценки.
Требования аттестации
Аттестат соответствия информационной системы требованиям защищенности служит для подтверждения того, что информационная система, используемая компанией, обеспечивает защиту конфиденциальности, целостности и доступности информации и соответствует требованиям Регуляторов [8].
Информационная система представляет собой совокупность из баз данных, технологий и технических средств, которые поддерживают их обработку, хранение и передачу [6].
При этом данные должны храниться в электронном виде, обработка и хранение информации на бумажных носителях не являются информационной системой [1].
Какие информационные системы проходят аттестацию
Перечень объектов информатизации, для которых проводятся аттестация на соответствие требованиям о защите информации, представлен в таблице 1.
Таблица 1.
Перечень объектов аттестации
|
Объект аттестации |
Пример |
Нормативный акт |
Период прохождения |
|
Автоматизированная информационная система (АИС) |
Обработка, хранение, передача информации с грифом «ДСП» |
Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К) |
Каждые три года |
|
Информационная система персональных данных (ИСПДн) |
Обработка, хранение, передача персональных данных внутри компании. |
Приказ ФСТЭК России от 18.02.2013 № 21 |
Аттестат на весь срок эксплуатации системы. Обязательный контроль каждые два года |
|
Государственная информационная система (ГИС) |
Обработка, хранение, передача информации ограниченного доступа в целях реализации полномочий государственных органов и обеспечения обмена информацией между этими органами. |
Приказ ФСТЭК России от 11.03.2013 № 17 |
Аттестат на весь срок эксплуатации системы. Обязательный контроль каждые два года |
Когда коммерческая организация использует персональные данные в своей информационной системе, она сама решает, нужно ли ей получать аттестат. Однако если она взаимодействует с государственными, региональными или муниципальными информационными системами, или же входит в состав такой системы, аттестат становится обязательным.
Порядок аттестации информационных систем
Аттестация на соответствие стандартам защиты информации может выполняться только лицензированными организациями, имеющими разрешение от ФСТЭК на деятельность в области технической защиты конфиденциальной информации. Такие организации называют лицензиатами.
Требования к проведению аттестации подробно изложены в нескольких нормативных документах, основные из которых представлены ниже.
- Приказ ФСТЭК России от 29 апреля 2021 года № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» [4];
- Приказ ФСТЭК России от 11 февраля 2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [2];
- Приказ ФСТЭК России от 18 февраля 2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [3];
- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Государственной технической комиссией при Президенте Российской Федерации [5].
Указанные документы разъясняют порядок организации аттестации объектов информатизации для защиты информации, не относящейся к государственной тайне.
Лицензированные организации несут ответственность за выданные аттестаты, поэтому им необходимо проводить независимую проверку защищенности систем клиентов. Процедуры оценки должны включать проверку состояния объектов на соответствие требованиям защиты, анализ средств защиты, квалификации сотрудников, организационных мер, а также технических решений по предотвращению несанкционированного доступа.
Объем и характер работ при проведении аттестационных испытаний согласуется с заказчиком, но определенные работы выполняются в обязательном порядке [4]:
- Анализ соответствия технической документации объекта информатизации, акта классификации информационной системы и эксплуатационной документации системой защиты информации, а также требованиям по защите информации и установленным порядкам.
- Проверка наличия и согласования с ФСТЭК России модели угроз безопасности информации и технического задания для государственных информационных систем.
- Оценка информационной системы на предмет соответствия её состояния и условий эксплуатации требованиям защиты информации и нормативным документам.
- Проверка информации о средствах защиты информации, зарегистрированных в реестре сертифицированных средств, ведение которого осуществляется ФСТЭК России.
- Оценка уровня квалификации работников, отвечающих за защиту информации на предприятии.
- Анализ организационных мероприятий, принимаемых для защиты информации, на предмет их соответствия актуальным угрозам.
- Оценка технических мероприятий для защиты от несанкционированного доступа и их адекватности в условиях актуальных угроз.
Выводы
- Аттестация информационных систем на соответствие требованиям по защите информации является ключевым элементом в обеспечении информационной безопасности.
- Системы разного уровня имеют различия в порядке проведения аттестации.
- Представленная методика, основанная на требованиях регуляторов, может быть использована в практической деятельности.
Список литературы:
- Постановление Правительства Российской Федерации от 15.09.2008 № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации» [Электронный ресурс]. – URL: http://pravo.gov.ru/proxy/ips/?docbody=&nd=102124251 (дата обращения: 20.10.2024);
- Приказ ФСТЭК России от 11.02.2013 года № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах» [Электронный ресурс]. – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-11-fevralya-2013-g-n-17 (дата обращения: 20.10.2024);
- Приказ ФСТЭК России от 18.02.2013 года № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» [Электронный ресурс]. – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-18-fevralya-2013-g-n-21 (дата обращения: 20.10.2024);
- Приказ ФСТЭК России от 29.04.2021 № 77 «Об утверждении Порядка организации и проведения работ по аттестации объектов информатизации на соответствие требованиям о защите информации ограниченного доступа, не составляющей государственную тайну» [Электронный ресурс]. – URL: https://fstec.ru/dokumenty/vse-dokumenty/prikazy/prikaz-fstek-rossii-ot-29-aprelya-2021-g-n-77 (дата обращения: 20.10.2024);
- Специальные требования и рекомендации по технической защите конфиденциальной информации (СТР-К), утвержденные Государственной технической комиссией при Президенте Российской Федерации [Электронный ресурс]. – URL: https://wikisec.ru/images/2/2c/Str-k-.pdf (дата обращения: 20.10.2024);
- Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации» [Электронный ресурс]. – URL: http://pravo.gov.ru/proxy/ips/?docbody&nd=102108264 (дата обращения: 20.10.2024);
- Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [Электронный ресурс]. – URL: http://pravo.gov.ru/proxy/ips/?docbody&nd=102108261 (дата обращения: 20.10.2024);
- Хорев А.А. Аттестация объектов информатизации и выделенных помещений [Электронный ресурс]. – URL: http://www.bnti.ru/showart.asp?aid=820&lvl=04.03.04.&ysclid=m2g9un6lc3733648792 (дата обращения: 20.10.2024).
Оставить комментарий